Faille de sécurité chez InfoGreffe : « pas de fuite de données personnelles mais une facilité de navigation »

RGPD

Suite à notre article, le site Infogreffe a souhaité nous apporter plus de précisions, non pas sur une fuite de données mais sur « une facilité de navigation« . Eclairages.

Mardi 20 février, nous reprenions dans nos colonnes l’information fournie par Damien Bancal, journaliste spécialiste des questions liées à la cyber-sécurité, selon laquelle il existait une faille de sécurité sur le site InfoGreffe qui permettait la fuite de données personnelles. 

Le site InfoGreffe a souhaité apporter des précisions sur le sujet.

Pas de fuite mais une facilité à récupérer les données

Il ne s’agit pas d’une fuite de données mais d’une facilité de navigation liée au pré-remplissage de mails. C’est un système présent sur beaucoup d’autres sites et qui pouvait être utilisé par un pirate. Il s’agissait d’une fonctionnalité de pré-remplissage qui aurait pu faciliter, rendre plus rapide une action malveillante. 

D’un point de vue strictement technique, un client recevait un mail d’InfoGreffe à la suite d’une formalité effectuée en ligne. Ce mail contenait un lien pour se connecter au compte. Damien Bancal explique «  le formulaire de login est prérempli avec l’adresse mail du client. Elle est présente dans le code source de la page (var login = …). Ainsi que d’autres informations (code abonné, code client, …). Il suffisait de changer l’ID dans l’URL pour obtenir l’adresse d’un autre client. Comme l’ID est numérique, il aurait suffi à un pirate de l’incrémenter (à la main, via un script, …) pour obtenir des adresses mails d’utilisateurs. Des clients qui auraient pu ainsi finir comme cible dans une attaque ciblée de type phishing.« 

InfoGreffe prend la menace très au sérieux

Néanmoins, InfoGreffe assure avoir pris les bonnes mesures au bon moment. 

Dès que nous avons été informés, nous avons supprimé cette fonctionnalité. Nous avons aussi mis en place un audit des entrées et avons constaté qu’il n’y avait eu aucune tentative de vol de données. Aujourd’hui, il existe une veille constante sur ces problèmes de cyber-sécurité. Nous menons des actions régulièrement, nous travaillons même avec un partenaire cyber-sécurité. Des mises à jour permanentes sont menées.

En résumé, cette faille révélée a été prise très au sérieux par InfoGreffe qui a immédiatement réagi et réglé le problème. 

2 Trackbacks & Pingbacks

  1. Le site de la FDJ fermé après avoir laissé fuiter les données personnelles de ses usagers ! - Décider et Entreprendre
  2. Pourquoi la fermeture du site de la Française des Jeux masque un problème plus grave (pour ses utilisateurs) que ce qu’elle souhaite en dire – RESEAU ACTU

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Hey, salut toi le lecteur de Décider et Entreprendre.


Ça fait maintenant deux ans que D&E existe et continue de se développer. Et le tout, sans jamais avoir reçu de subvention. Alors depuis maintenant un mois, D&E a décidé et entrepris d'intégrer quelques publicités sur sa homepage, mais aussi au cœur de ses articles. Car D&E rémunère ses équipes.


Derrière D&E se cachent des journalistes, des développeurs informatiques, des responsables communications, mais aussi des éditorialistes de passage. Tout ce petit monde travaille d'arrache-pied pour ramener de l'information fraîche, des points de vues tranchés, mais argumentés et autres gaudrioles à l'un des seuls médias en ligne complètement indépendant, à la ligne éditoriale libre, mais aussi en plein développement.


Alors, voilà, aujourd'hui, cher lecteur, on te demande un petit geste de pas grand-chose. Non, range ton portefeuille (bien que l'on accepte aussi les dons). Non, on te demande juste de désactiver ton bloqueur de pub (Ad-Block, AdThwart, Webmail Ad blocker, etc) le temps de ta navigation sur notre site ou de mettre une exception de blocage qui concerne D&E.


Le simple fait d'afficher les pubs sur notre site nous permet de rémunérer nos « incroyables » équipes. Promis, les publicités ne sont pas invasives ni agressives. On peut même les cacher si on veut (avec la petite croix dessus).


Ça nous ferait vraiment plaisir et ça permettrait qu'on s’achète notre table de ping-pong continue à écrire librement, à titiller les puissances en place, mais aussi à proposer d'autres pistes de réflexion sur des sujets habituellement traités par les médias subventionnés.


Un petit geste pour toi, mais un grand pas pour Décider & Entreprendre.


Merci à toi, ô lecteur de D&E. Et bonne lecture.

Lire les articles précédents :
Alliance Infogreffe-LinkedIn : les entreprises seraient-elle les dindons de la farce ?

L'annonce de l'alliance entre Infogreffe et LinkedIn parue le 15 février 2018 n'a pas fait grand bruit. Pourtant, les entrepreneurs...

Fermer